ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización.
La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
La norma se encuentra dividida en dos partes; la primera se compone de 10 puntos entre los cuales se encuentran:
- 1. Objeto y campo de aplicación
- 2. Referencias normativas
- 3. Términos y definiciones
- 4. Contexto de la organización
- 5. Liderazgo
- 6. Planificación
- 7. Soporte
- 8. Operación
- 9. Evaluación de desempeño
- 10. Mejora
La segunda parte, está conformada por el anexo A, el cual establece los objetivos de control y los controles de referencia.